Mailinglist Archive: opensuse-de (1765 mails)
| < Previous | Next > |
Re: Aufbau LDAP Baum - Über ACL oder Verzeichnisse Lösen?
- From: "luisa merenda" <merenda@xxxxxxx>
- Date: Fri, 17 Mar 2006 09:54:17 +0100 (MET)
- Message-id: <27202.1142585657@xxxxxxxxxxxxxx>
> Von: "Karsten Künne" <karsten.kuenne@xxxxxxxxx>
>
> Das ist krank, so was habe ich ja noch nie gesehen. Viel zu umständlich.
Ja du hast recht deswegen wollte ich es ja ändern.
> Schon besser, aber den Ast mit den Hostnamen würde ich weglassen.
> Soweit ich weiss, unterstützt pam_ldap doch das "host"-Attribut. D.h., zu
jedem
> User-Object fügst Du ein Attribut "host=hostname" hinzu und pam_ldap
> sorgt dann dafür, dass sich der User nur auf diesem Host einloggen kann.
Das
> host-Attribut kann auch mehrfach auftreten.
Danke für den Tip :) Ich habs gefunden, dass ist genau das was ich gesucht
habe!
Aber irgendwie funkt das mit :(
Ich hab dem User ldap_user1 über phpLDAPadmin das Attribut "host"
hinzugefügt. Dem Attribut habe ich dann einen Maschinen Namen angefügt mars.
Auf in der ldap.conf der Maschine mars habe ich dann folgenden eintrag
eingestellt:
pam_check_host_attr yes
Wenn ich dann mit getent passwd eine Abfrage starte, werden mir trozdem alle
User angezeigt, was mache ich falsch?
> Mit dem "host"-Attribut wie oben beschrieben. Die ACL's können dabei
> recht freizügig sein, solange das "userpassword"-Attribut (oder wo immer
das
> Passwort drin steht) geschätzt bleibt. Ich habe z.B. die folgende ACL bei
> uns drin:
>
> access to attr=userpassword
> by self =wcx
> by group="cn=administrators,..." write
> by anonymous auth
> by * none
>
> Der Rest ist frei lesbar von allen ("by * read"), da stehen ja i.A. keine
> Geheimnisse drin.
Jupp, hab ich jetzt auch so eingestellt.
> Gruss,
> Karsten.
Danke und Gruß
Luisa Merenda
--
Bis zu 70% Ihrer Onlinekosten sparen: GMX SmartSurfer!
Kostenlos downloaden: http://www.gmx.net/de/go/smartsurfer
>
> Das ist krank, so was habe ich ja noch nie gesehen. Viel zu umständlich.
Ja du hast recht deswegen wollte ich es ja ändern.
> Schon besser, aber den Ast mit den Hostnamen würde ich weglassen.
> Soweit ich weiss, unterstützt pam_ldap doch das "host"-Attribut. D.h., zu
jedem
> User-Object fügst Du ein Attribut "host=hostname" hinzu und pam_ldap
> sorgt dann dafür, dass sich der User nur auf diesem Host einloggen kann.
Das
> host-Attribut kann auch mehrfach auftreten.
Danke für den Tip :) Ich habs gefunden, dass ist genau das was ich gesucht
habe!
Aber irgendwie funkt das mit :(
Ich hab dem User ldap_user1 über phpLDAPadmin das Attribut "host"
hinzugefügt. Dem Attribut habe ich dann einen Maschinen Namen angefügt mars.
Auf in der ldap.conf der Maschine mars habe ich dann folgenden eintrag
eingestellt:
pam_check_host_attr yes
Wenn ich dann mit getent passwd eine Abfrage starte, werden mir trozdem alle
User angezeigt, was mache ich falsch?
> Mit dem "host"-Attribut wie oben beschrieben. Die ACL's können dabei
> recht freizügig sein, solange das "userpassword"-Attribut (oder wo immer
das
> Passwort drin steht) geschätzt bleibt. Ich habe z.B. die folgende ACL bei
> uns drin:
>
> access to attr=userpassword
> by self =wcx
> by group="cn=administrators,..." write
> by anonymous auth
> by * none
>
> Der Rest ist frei lesbar von allen ("by * read"), da stehen ja i.A. keine
> Geheimnisse drin.
Jupp, hab ich jetzt auch so eingestellt.
> Gruss,
> Karsten.
Danke und Gruß
Luisa Merenda
--
Bis zu 70% Ihrer Onlinekosten sparen: GMX SmartSurfer!
Kostenlos downloaden: http://www.gmx.net/de/go/smartsurfer
| < Previous | Next > |